用戶和組賬號管理

用戶和組賬號管理學(xué)習(xí)內(nèi)容用戶賬號管理組賬號管理組策略及應(yīng)用用戶賬號在由windowsserver2008組建的網(wǎng)絡(luò)中，擁有不同權(quán)限的用戶賬號對計算機及網(wǎng)絡(luò)控制的能力和范圍是不同的。用戶賬號是用戶登錄系統(tǒng)憑證。利用用戶賬號，用戶能夠登錄到域中，訪問網(wǎng)絡(luò)資源，或者登錄到本地，訪問本地計算機上的資源。用戶賬號管理XP中用于管理本地賬號的工具域控器的本地用戶和組已升級為AD用戶和計算機工具域、OU、組、賬號關(guān)系圖OU與組組織單元（OU，OrganizationalUnit）是組織、管理一個域內(nèi)對象的容器，它能包容用戶賬戶、用戶組、計算機、打印機和其他的組織單元。組是用戶和計算機賬戶、聯(lián)系人以及其他可作為單個單元管理的集合，屬于特定組的用戶和計算機稱為組成員。通過對ActiveDirectory中的組進(jìn)行管理，可以實現(xiàn)如下功能：（1）簡化管理（2）委派管理將shism域賬號添加到本地administrators組后，shism賬號擁有管理員權(quán)限域用戶帳戶和本地用戶帳戶不同，域用戶帳戶保存在活動目錄中。由于所有的用戶帳戶都集中保存在活動目錄中，所以使得集中管理變成可能同時，一個域用戶帳戶可以在域中的任何一臺計算機上登錄，用戶可以不再使用固定的計算機。當(dāng)計算機出現(xiàn)故障時，用戶可以使用域用戶帳戶登錄到另一臺計算機上繼續(xù)工作，這樣也使帳號的管理變得簡單。操作--OU劃分OU（組織單位）

在域中有很多的對象，包括用戶帳戶、組、共享文件夾和共享打印機等。這些對象都是集中存儲在活動目錄中并使用“AD用戶與計算機”管理工具來進(jìn)行管理。但如果這些大量的對象都放在“users”管理單元內(nèi)進(jìn)行管理，會帶來一定的不便，例如不便于查找、難于設(shè)置策略等。所以為了更好的組織和管理這些對象，引入“OU”的概念。OU又叫組織單位，它是一個容器，主要的作用就是用來組織和管理這些對象的。為了便于日后的管理，我們一定要設(shè)計好OU的結(jié)構(gòu)。OU結(jié)構(gòu)的劃分有幾種不同的方法按對象類型來劃分。該劃分方法是創(chuàng)建幾個OU，不同的OU放不同的對象，比如一個OU放用戶帳戶，另一個OU放計算機帳戶等；按企業(yè)的組織結(jié)構(gòu)來劃分。方法是為不同的部門創(chuàng)建不同的OU，把屬于每個部門的對象都放在一個OU里，比如財務(wù)部的OU放財務(wù)部的用戶帳戶、財務(wù)部的計算機帳戶和組等，而業(yè)務(wù)部的OU放業(yè)務(wù)部的用戶帳戶、業(yè)務(wù)部的計算機帳戶和組等。這是一種常用的方法；按地區(qū)來劃分。該方法主要用在有分支機構(gòu)的企業(yè)，分別為不同的分支機構(gòu)創(chuàng)建不同的OU，然后把屬于該分支機構(gòu)的所有對象都放在相應(yīng)的OU里。比如一個企業(yè)有廣州總公司、上海分公司和北京分公司，那么就分別為這三個分公司建立三個OU，一個OU放廣州總公司的對象，一個放上海分公司的對象，還有一個放北京分公司的對象；混合劃分方法。該方法是按組織結(jié)構(gòu)劃分和按地區(qū)劃分兩種方法的結(jié)合，先為不同分支機構(gòu)創(chuàng)建OU，再在不同的分支機構(gòu)的OU里按組織結(jié)構(gòu)來創(chuàng)建子OU。這也是一種常用的方法。創(chuàng)建用戶賬號利用賬號模板可以創(chuàng)建一個賬號模板，預(yù)先設(shè)置相關(guān)的共同屬禁用通過賬號模板進(jìn)行復(fù)制復(fù)制時，仍然要求你輸入姓名，登錄姓名和密碼。但會發(fā)現(xiàn)這個新帳號有一些屬性是從模板中復(fù)制得到的。創(chuàng)建用戶賬號利用命令行工具CSVDECSVDE是一個命令行工具，可以將AD中的對象導(dǎo)出成一個后綴名為.csv或.txt的文件；也可以將這樣的文件導(dǎo)入成AD，作為對象。comma-separatedvaluetextfile，逗號分隔文件，可以在Excel或文件編輯器中被打開查看。導(dǎo)出ou中的記錄導(dǎo)入賬號利用dsquery以及dsmod批量修改密碼Dsquery的例子：dsqueryuser“ou=students,ou=rjgc,ou=jsj,dc=czu,dc=internal”–disabled查詢在指定ou內(nèi)的被禁用的賬號Dsmod的例子：dsqueryuser“ou=students,ou=rjgc,ou=jsj,dc=czu,dc=internal”–disabled|dsmoduser–disabledno–pwd!@345czu將查詢結(jié)果導(dǎo)入給dsmod命令，啟用賬號，修改密碼用戶配置文件如果用戶登錄后，不能訪問他的IE收藏夾，或不能見到熟悉的快捷方式或桌面的文檔。這些內(nèi)容都與用戶文件的組件相關(guān)。一個用戶文件包括文件夾和數(shù)據(jù)文件。數(shù)據(jù)文件中有用戶特定的桌面環(huán)境。設(shè)置包括：開始菜單，桌面，以及快速啟動欄中的快捷方式(Shortcuts)桌面上的文件。在MyDocuments中的文件IE收藏夾和Cookies程序的特殊文件，如office用戶字典，用戶模板等。網(wǎng)上鄰居桌面的顯示設(shè)置，如外觀，墻紙和屏保這些重要的元素不同于各個用戶。我們希望這些元素與登錄聯(lián)系起來，當(dāng)用戶登錄到其它系統(tǒng)時可用?；虍?dāng)用戶的系統(tǒng)損壞必須重裝時，也可用。本地用戶配置文件默認(rèn)，用戶文件被存儲在系統(tǒng)本地。%Systemdrive%\DocumentsandSettings\%Username%文件夾中有以下特征：當(dāng)用戶第一次登錄到一個系統(tǒng)。系統(tǒng)為該用戶新建用戶文件。新的用戶文件夾名，會與登錄的名字類似。所有對用戶桌面或軟件環(huán)境所做修改，都會被保存在本地用戶文件夾中（LocalUserProfiles）用戶的環(huán)境由Allusers文件夾擴展，其中可以包括桌面或開始菜單中的shortcuts，網(wǎng)上鄰居，甚至應(yīng)用程序數(shù)據(jù)。Allusers中的元素與用戶文件夾中的內(nèi)容結(jié)合產(chǎn)生用戶環(huán)境。默認(rèn)，只有Administratorsgroup的用戶才可以更改Allusers文件夾。如果用戶登錄到其它系統(tǒng)，documentsandsettings中的內(nèi)容不會跟隨用戶。系統(tǒng)會重新為用戶生成一個用戶文件夾漫游用戶配置文件如果用戶需要在多臺計算機上工作，你可以配置漫游用戶文件（roaminguserprofiles，RUPs）。以此保證無論在什么地方登錄，他們的documentsandsettings保持一致。RUPs將文件存放在服務(wù)器上，也意味著，文件可以被備份，掃描viruses，被集中控制。即使用戶不用移動，RUPs也可以在用戶系統(tǒng)損壞時，保證用戶文件與系統(tǒng)恢復(fù)前一致。配置RUP，先在服務(wù)器上建立一個共享文件夾（EveryoneFullControl）。理想情況下，服務(wù)器應(yīng)該是一個fileserver，可以經(jīng)常做備份。漫游用戶配置文件在用戶“屬性”對話框的“配置文件”頁中，在profilepath中，鍵入

\\<server>\<share>\%Username%%Username%會被自動地代替為用戶登錄名當(dāng)用戶注銷時，系統(tǒng)會將用戶文件上傳至服務(wù)器。用戶只要是登錄到域，無論是哪個系統(tǒng)，或哪臺計算機，用戶文件都以RUP形式，從服務(wù)器上下載到本地。（thesystemcopiesonlyfilesthathavechanged)注意：rups文件夾權(quán)限的設(shè)置（1）共享（2）NTFS權(quán)限（3）共享權(quán)限

創(chuàng)建預(yù)定義的用戶配置文件你可以建立一個自定義的用戶文件，提供設(shè)計好的桌面和軟件環(huán)境。建立自定義的用戶文件，不需要特別的工具，只要新建一個帳戶，以該賬號，登錄到系統(tǒng)，正確修改桌面和軟件設(shè)置。當(dāng)用戶文件修改成功后，以管理員身份登錄到系統(tǒng)，打開系統(tǒng)“屬性”，在高級頁中，點擊用戶配置文件中的“設(shè)置”按鈕。選擇文件，點擊“復(fù)制”。鍵入路徑，格式為：\\<server>\<share>\<username>可以點擊“更改”，修改可訪問文件夾的人。最后，打開用戶賬號的”屬性“對話框，在配置文件頁中，輸入同樣的文件路徑。強制用戶配置文件漫游文件可以為多個用戶建立標(biāo)準(zhǔn)的桌面環(huán)境。但是不同的用戶在今后會對自己的桌面環(huán)境做不同的修改?？梢栽O(shè)置多個用戶都使用同一個用戶文件夾。方法如上。在復(fù)制文件到目的地時。訪問權(quán)限設(shè)置為一個組都能訪問。既然有多個用戶都可以訪問同一個用戶文件夾，自然不希望該文件夾中的內(nèi)容，被修改。這時可以配置強制文件(MandatoryProfile)一個MandatoryProfile不允許用戶更改profile環(huán)境。即使用戶在本機上做了修改，但下次用戶登錄時，這些修改將不會被保存。MandatoryProfile可以用于鎖住桌面。尤其是多個用戶共享一個用戶配置文件時。將用戶配置文件變成Mandatory的，只要重命名文件夾中Ntuser.dat文件為Ntuser.man。組賬號管理組（group）是多個具有相同管理任務(wù)的用戶和計算機賬號的集合單元。屬于特定組的用戶和計算機被稱為組成員。在AD域服務(wù)中的組都是存儲在域和OU中的。使用且可以一次給一組用戶指定權(quán)限，而不必單獨地給每一個用戶重復(fù)指定權(quán)限，從而簡化管理。組的作用使用AD

DS中的組可以執(zhí)行以下操作：通過將共享資源的權(quán)限分配給組而不是單個用戶來簡化管理。將權(quán)限分配給組會將對資源的相同訪問權(quán)限分配給該組的所有成員。通過組策略將用戶權(quán)限一次性分配給組來進(jìn)行委派管理。然后可以向組添加那些希望和組具有相同權(quán)利的成員。創(chuàng)建電子郵件分發(fā)列表。組的劃分在域中，組的類型有兩種，分別是“安全組”和“通訊組”。安全組即可以設(shè)置權(quán)限，也可以收發(fā)電子郵件；而通訊組不能設(shè)置權(quán)限，只能收發(fā)電子郵件。

根據(jù)組的作用范圍不同，組又分為“本地域組”、“全局組”和“通用組”三種。本地域組：作用范圍是該組所在的域內(nèi)可以包含的成員包括：所有域的用戶帳戶、全局組、通用組，以及本域的域本地組。全局組：作用范圍是所有受信任的域可以包含的成員有：本域的用戶帳戶和全局組。通用組：作用范圍是所有受信任的域可以包含的成員有：所有域的用戶帳戶、全局組和通用組。DomainFunctionalLevels

域功能級別在WS2008中有三種域功能級別：Windows2000純模式，WindowsServer2003，WindowsServer2008。Windows2000:這個級別內(nèi)的域控制器可以是ws2000或ws2003

WindowsServer2003:這個級別內(nèi)的域控制器可以是ws2003或ws2008WindowsServer2008:只能是ws2008不同的域功能級別，在組屬性上有不同的限制。一旦提升域功能級別之后，就不能再將運行舊版操作系統(tǒng)的域控制器引入該域中。GroupScope

組作用域Groupscope用來確定在域樹或林中該組的應(yīng)用范圍，定義了權(quán)限如何被分配給組成員。WS2008中，無論是安全組還是通訊組，都被劃分為三個組作用域：本地域(domainlocal)，全局(global)，通用(universal)作用域組類型DomainLocalGroups通常為本域的資源創(chuàng)建本地域組幫助用戶定義和管理單一域內(nèi)的資源訪問權(quán)限本地域組的成員可以是同一個域的本地域組任何域內(nèi)的賬戶具有全局作用域的域組具有通用域的組他們能訪問的資源只是該本地域組所在域中的資源DomainLocalGroups例例如，若要授予五個用戶訪問特定打印機的權(quán)限，您可以在打印機權(quán)限列表中添加五個用戶帳戶。但是，如果您以后要授予這五個用戶訪問新打印機的權(quán)限，則必須重新在新打印機權(quán)限列表中指定這五個帳戶。稍作計劃之后，通過創(chuàng)建具有本地域作用域的組并為其分配訪問打印機的權(quán)限，即可簡化此日常管理任務(wù)。將這五個用戶帳戶放在具有全局作用域的組中，并將此組添加到具有本地域作用域的組。若要授予這五個用戶訪問新打印機的權(quán)限，可以為具有本地域作用域的組分配新打印機的訪問權(quán)限。具有全局作用域的組的所有成員都會自動獲得對新打印機的訪問權(quán)限。GlobalGroups全局組屬于某個域，但作用范圍是整個森林，主要用來組織對網(wǎng)絡(luò)訪問具有相同要求的用戶全局組的成員只包括組所在域的其他組和帳戶使用具有全局作用域的組來管理需要進(jìn)行日常維護的目錄對象，如用戶和計算機帳戶。由于具有全局作用域的組在自已的域外不會被復(fù)制，因此您可以經(jīng)常更改具有全局作用域的組中的帳戶，且不會對全局編錄產(chǎn)生重復(fù)流量。UniversalGroups通用組的成員可以包括域樹或林中的任何域的其他組和帳戶?？梢栽谟驑浠蛄种械娜魏斡驗檫@些組成員分配權(quán)限。使用具有通用作用域的組來合并跨域的組向具有全局作用域的組添加帳戶，并在具有通用作用域的組內(nèi)嵌套這些組。使用此策略時，對具有全局作用域的組成員身份的任何更改都不會影響具有通用作用域的組。SpecialIdentities

特殊身份有一些特殊的組稱為specialidentities,由操作系統(tǒng)管理。Specialidentities不能被創(chuàng)建或刪除，其中的成員也不能被修改。Specialidentities不會在“AD用戶和計算機”管理單元中顯示，但是可以在ACL中被分配訪問權(quán)限。這些特殊組能根據(jù)環(huán)境在不同時間代表不同用戶SpecialIdentitiesIdentityRepresentationEveryone此組代表了所有當(dāng)前網(wǎng)絡(luò)用戶，包括來自于其他域的來賓和用戶。無論用戶何時登錄到網(wǎng)絡(luò)上，都會自動將該用戶添加到Everyone組。

Network此組所代表的用戶當(dāng)前正通過網(wǎng)絡(luò)訪問給定的資源，這些用戶與通過本地登錄到資源所在的計算機來訪問該資源的用戶相對。無論用戶何時通過網(wǎng)絡(luò)訪問給定的資源，都會自動將該用戶添加到“網(wǎng)絡(luò)”組。Interactive此組代表當(dāng)前已登錄到特定計算機，并且正在訪問位于該計算機上的給定資源的所有用戶，他們與通過網(wǎng)絡(luò)訪問資源的用戶相對。無論用戶何時訪問他們當(dāng)前已登錄的計算機上的給定資源，都會自動將該用戶添加到“交互”組。

AnonymousLogon此組所代表的用戶和服務(wù)在不使用帳戶名、密碼或域名的情況下通過網(wǎng)絡(luò)訪問計算機及其資源。在運行Windows

NT和早期版本的計算機上，“匿名登錄”組是Everyone組的默認(rèn)成員。但在運行WindowsServer2008R2、WindowsServer

2008或Windows

Server

2003的計算機上，“匿名登錄”組在默認(rèn)情況下不是Everyone組的成員。CreatorOwner表示創(chuàng)建或獲取了資源所有權(quán)的用戶。如一個用戶創(chuàng)建了資源，但是管理員拿走了所有權(quán)，那么，creatorowner將是管理員。組策略理解組策略的作用理解組策略的應(yīng)用順序會配置組策略的繼承會配置組策略的強制生效會配置組策略實現(xiàn)軟件分發(fā)32組策略的作用-1方便管理AD中用戶和計算機的工作環(huán)境用戶桌面環(huán)境計算機啟動/關(guān)機與用戶登錄/注銷時所執(zhí)行的腳本文件軟件分發(fā)安全設(shè)置域組策略33組策略的作用-2通過組策略可以對域設(shè)置組策略影響整個域的工作環(huán)境，對OU設(shè)置組策略影響本OU下的工作環(huán)境降低布置用戶和計算機環(huán)境的總費用只須設(shè)置一次，相應(yīng)的用戶或計算機即可全部使用規(guī)定的設(shè)置減少用戶不正確配置環(huán)境的可能性推行公司使用計算機的規(guī)范桌面環(huán)境規(guī)范安全策略組策略適用的操作系統(tǒng)組策略不適用于早期的Windows操作系統(tǒng)，如Windows9x/NT，那時使用的是“系統(tǒng)策略”。組策略是系統(tǒng)策略的更高級擴展，它是由Windows9x/NT的“系統(tǒng)策略”發(fā)展而來的，具有更多的管理模板、更靈活的設(shè)置對象及更多的功能，目前主要應(yīng)用于Windows2000/XP/2003/Vista/2008中。組策略的具體設(shè)置數(shù)據(jù)保存在GPO中34組策略的結(jié)構(gòu)-1默認(rèn)GPO默認(rèn)域策略默認(rèn)域控制器策略GPO所鏈接的對象組策略不能應(yīng)用到組，只能夠應(yīng)用到站點、域或組織單位（SDOU）GPO控制用戶和計算機組策略GPOSDOU計算機用戶35案例1：組策略的簡單應(yīng)用需求：公司的網(wǎng)絡(luò)采用域結(jié)構(gòu)進(jìn)行管理，銷售部員工的用戶賬戶都位于Sales_OU中，現(xiàn)要求銷售部的員工統(tǒng)一使用公司指定的桌面背景，而且不能隨意更改成其它桌面背景實現(xiàn)思路：創(chuàng)建并鏈接組策略配置組策略用戶配置→策略→管理模板→桌面→桌面→桌面墻紙36組策略的應(yīng)用規(guī)則繼承與阻止繼承累加應(yīng)用順序強制生效篩選37繼承與阻止繼承在默認(rèn)情況下，下層容器會繼承來自上層容器的GPO子容器可以阻止繼承上級的組策略右擊容器→阻止繼承繼承Sales_OU的組策略繼承域的組策略38累加容器的多個組策略設(shè)置如果不沖突，則最終有效策略是所有組策略設(shè)置的總和容器的多個組策略設(shè)置如果沖突，則后應(yīng)用的組策略覆蓋先應(yīng)用的組策略組策略設(shè)置是否沖突OU的有效設(shè)置域：IE主頁設(shè)置為OU：已啟用“阻止更改墻紙”否IE主頁設(shè)置為阻止更改墻紙域：已啟用“阻止更改墻紙”O(jiān)U：已禁用“阻止更改墻紙”是可以更改墻紙39應(yīng)用順序組策略按以下順序被應(yīng)用：LSDOU首先應(yīng)用本地組策略對象如果有站點組策略對象，則應(yīng)用之然后應(yīng)用域組策略對象如果計算機或用戶屬于某個OU，則應(yīng)用OU上的組策略對象如果計算機或用戶屬于某個OU的子OU，則應(yīng)用子OU上的組策略對象如果同一個容器下鏈接了多個組策略對象，則按照策略優(yōu)先級從大到小逐個應(yīng)用(優(yōu)先級小級別高）40強制生效強制生效是強制容器執(zhí)行其GPO設(shè)置強制的41篩選篩選可以阻止一個GPO應(yīng)用于容器內(nèi)的特定計算機和用戶Sales_OUManagerASales42案例2：多元用戶密碼策略需求：對不同的用戶應(yīng)用不同的用戶密碼安全級別。需要使用PasswordSettingsobjects(PSO)，對不同用戶應(yīng)用不同密碼策略。步驟1.使用ADSIEdit(ADserviceinterface)創(chuàng)建PSO在ADSIEdit管理單元中，右鍵單擊

ADSIEdit，然后單擊“連接到”。在“名稱”中，鍵入要在其中創(chuàng)建PSO的域的完全限定的域名(FQDN)，然后單擊“確定”。雙擊該域

DC=<domain_name>

CN=SystemCN=PasswordSettingsContainer。右鍵單擊

CN=PasswordSettingsContainer，單擊“新建”，然后單擊“對象”。在“創(chuàng)建對象”對話框的“選擇類”下，單擊

msDS-PasswordSettings，然后單擊“下一步”。在“值”中，鍵入新PSO的名稱，然后單擊“下一步”。域功能級別：提升到2008多元密碼策略只能被應(yīng)用到用戶對象或者全局安全組案例2：多元用戶密碼策略步驟2.

PSO對象屬性值屬性名稱描述可接受的值范圍示例值msDS-PasswordSettingsPrecedence密碼設(shè)置優(yōu)先級大于010msDS-PasswordReversibleEncryptionEnabled用戶帳戶的密碼可還原的加密狀態(tài)FALSE/TRUE（推薦：FALSE）FALSEmsDS-PasswordHistoryLength用戶帳戶的密碼歷史長度0到102424msDS-PasswordComplexityEnabled用戶帳戶的密碼復(fù)雜性狀態(tài)FALSE/TRUE（推薦：TRUE）TRUEmsDS-MinimumPasswordLength用戶帳戶的最短密碼長度0到2558msDS-MinimumPasswordAge用戶帳戶的最短密碼期限00:00:00:00到

msDS-MaximumPasswordAge

值1:00:00:00（1天）msDS-MaximumPasswordAge用戶帳戶的最長密碼期限不能將

msDS-MaximumPasswordAge

設(shè)置為零42:00:00:00（42天）msDS-LockoutThreshold用戶帳戶鎖定的鎖定閾值0到6553510msDS-LockoutObservationWindow用戶帳戶鎖定的觀察窗口00:00:00:01到

msDS-LockoutDuration

值0:00:30:00（30分鐘）msDS-LockoutDuration鎖定用戶帳戶的鎖定持續(xù)時間msDS-LockoutObservationWindow值到（永不過期）0:00:30:00（30分鐘）msDS-PSOAppliesTo到此密碼設(shè)置對象所應(yīng)用到的對象的鏈接（正向鏈接）用戶或全局安全組的0個或多個DN“CN=u1,CN=Users,DC=DC1,DC=contoso,DC=com”案例2：多元用戶密碼策略步驟3.